Використання каналів зв'язку на основі Wi-Fi територіально-розподіленої корпоративної мережі та її захист

Стратегія побудови та забезпечення безпеки мережі Wi-Fi, характеристика стандартних методів її захисту. Сценарії проектування та розгортання мережі, радіообстеження зони її покриття, налаштування, підключення точок доступу та реалізація захисту.

Рубрика Программирование, компьютеры и кибернетика
Вид дипломная работа
Язык украинский
Дата добавления 02.11.2013
Размер файла 2,2 M

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Рис.3.13 Налаштування безпеки

Безпека бездротової мережі будується з трьох компонентів:

- Авторизація

- Шифрування

- Веб-політика (опціонально)

Перші дві політики працюють на 2 рівні OSI, тому їх логічно назвали Layer 2. Авторизація в мене буде відповідати за те, кого пускати в мережу, та як. Шифрування визначатиме сам алгоритм шифрування пакетів в радіо-середовищі. Веб-політика дозволятиме загортати клієнтську HTTP-сесію на вбудований веб-сервер контролера, та запитувати підтвердження/логін-пароль через форму.

Мені доступні параметри безпеки 2-го рівня:

None - авторизація та шифрування трафіку не застосовуються («небезпечна мережа»). Використовується для гостьового доступу, в хотспоти. Найчастіше комбінується з веб-політикою, при якій мені вдасться без питань підключитися до бездротової мережі, але при спробі кудись вийти веб-браузером сесія перехоплюється контролером, і мене змушать ввести логін-пароль, погодитися з умовами і т.п..

WPA + WPA2 - дозволяє мені вибрати політику WPA або WPA2 (або обидві), тип шифрування TKIP або AES (чи обидва). Дані параметри просто анонсуються клієнтам у beacon пакетах. Не всі клієнтські адаптери (особливо старі) здатні зрозуміти сучасні стандарти. Якщо всі клієнти - нові, найбільш оптимальним для мене буде використання WPA2/AES. Додатково пропонується вказати, як буде утворюватися ключ для шифрування:

802.1X - індивідуальний ключ для кожного клієнта буде генеруватися RADIUS-сервером у момент авторизації. Найбільш безпечний варіант, також іменований WPA (2) Enterprise.

CCKM - використовується власний механізм Cisco генерації ключів, підходить тільки для Cisco Wi-Fi телефонів.

PSK - загальний (pre-shared) ключ, пароль на мережу, іменовану в такому випадку WPA (2) Personal.

802.1x + CCKM - гібрид CCKM і RADIUS-ключа (для Cisco-телефонів).

802.1X - індивідуальний ключ для кожного клієнта буде генеруватися RADIUS-сервером у момент авторизації.

Static WEP - статичний WEP-ключ.

Static WEP +802.1 X - гібрид двох попередніх.

CKIP - пропрієтарний аналог WEP для Cisco телефонів.

Рис.3.14 Вибір рівня безпеки

Проаналізувавши дані варіанти мені довелося робити вибір між:

1. Відсутністю шифрування/авторизації (гостьовий доступ).

2. WPA2 (AES) PSK aka «WPA2 Personal» для доступу в мережу по загальному паролю.

3. WPA2 (AES) + 802.1X aka «WPA2 Enterprise» для доступу в мережу через авторизацію на RADIUS-сервері (EAP: по доменному аккаунту, сертифікатом і т.п.).

Мій вибір зупинився на останньому варіанті так як він враховує політики безпеки перших 2-х, плюс йому доступні високі швидкості.

Також для того щоб забезпечити надійнішу безпеку мною було вирішено додати політику L3 рис.3.15, яка полягає в перехопленні клієнтської веб-сесії:

Рис.3.15 Вікно додаткових налаштувань безпеки

В даному вікні мені доступні наступні параметри:

Authentication - користувач бачить вікно введення логіна-пароля, які потім перевіряються на контролері (у його локальній базі), або на RADIUS-сервері.

Passthrough - користувач бачить вікно привітання, де у нього можуть опціонально запитати його e-mail адресу (далі ніде не використовується і не перевіряється).

Conditional Web Redirect - дозволяє редирект сесію користувача на зазначену у RADIUS-відповіді сторінку після авторизації. Наприклад, на сторінку поповнення балансу. Після редиректу користувач повинен авторизуватися.

Splash Page Web Redirect - те ж саме, але з доступом в мережу відразу.

On MAC Filter failure - редирект відбувається при блокуванні користувача MAC-фільтром.

Додатково вказав ACL (список доступу) для користувачів, які не пройшли авторизацію (наприклад, для DNS-сервера або зовнішнього веб-сервера з логотипом). Також вибрав, яку сторінку (форму) показувати користувачеві при авторизації (стандартну).

У разі використання RADIUS-сервера мені необхідно зробити додаткові налаштування. Перш за все, задати сам сервер авторизації в меню Security - RADIUS - AAA - Authentication рис.3.16:

Рис.3.16 Меню захисту RADIUS-сервера

Де мені довелося вказати наступні параметри:

- IP-адресу сервера.

- Shared secret (ключ радіус-сервера).

- Network user - щоб сервер підтримував авторизацію користувачів Wi-Fi мережі.

- Management - щоб сервер підтримував авторизацію адміністраторів самого контролера. Інші параметри інтересу не представляють.

Потрібно також задати той же сервер для цілей обліку (Accounting). В параметрах налаштування безпеки бездротової мережі натиснув вкладку AAA серверів рис.3.17, де все вказане за замовчуванням, забезпечує роботу всіх зареєстрованих на контролері RADIUS-сервері.

Рис.3.17 Налаштування AAA серверів

Закладка QoS відповідає за параметри якості обслуговування в мережі, даючи пріоритети різним типам трафіку та користувачам. В даному вікні проставив всі відмітки тому що в моїй бездротовій мережі широко використовується голос, відео, багато гостьових користувачів при великому навантаженні рис.3.18.

Рис.3.18 Надання пріоритету різним типам трафіку

Остання закладка, Advanced, рис.3.19., описує різні «додаткові параметри» моєї бездротової мережі, яких досить багато.

Рис.3.19 Додавання додаткових параметрів безпеки

Allow AAA Override - дозволяє передати додаткові параметри від RADIUS-сервера в момент успішної авторизації клієнта, та застосувати їх до даного клієнта індивідуально. Такими параметрами можуть бути номер VLAN, ім'я локального інтерфейсу, список доступу (ACL), URL для редиректу, QoS політика і т.п.

Coverage Hole Detection - управляє механізмом визначення та компенсації зони недостатнього покриття для клієнтів даної бездротової мережі. Рекомендую відключати для гостьових WLAN.

Enable Session Timeout, Session Timeout (secs) - включає і визначає тайм-аут сесії клієнта при веб-авторизації.

Aironet IE - включає специфічні для Cisco розширення параметрів beacon кадру. Розумні клієнтські адаптери у такому випадку працюють краще (роумінг, енергозбереження).

Diagnostic Channel - активує додатковий логічний канал діагностики для CCX5-сумісних клієнтських адаптерів.

IPv6 - в реальності тільки дозволяє IPv6 трафік для веб-авторизації.

Override Interface ACL - дозволяє задати альтернативний список доступу (ACL) замість зазначеного на дротовому VLAN (management, dynamic) інтерфейсі контролера.

P2P Blocking Action - визначає політику пропускання трафіку між бездротовими клієнтами (в межах контролера). Допустимі значення: Disabled (пропускати), Drop (не пропускати), Forward-UpStream (відправляти на роутер, нехай він вирішує).

Client Exclusion, Timeout Value (secs) - включає і задає тайм-аут винятку (тимчасового блокування) клієнта, авторизація якого в бездротовой мережі закінчилася невдало.

Maximum Allowed Clients - задає максимальне число одночасних асоціацій з даною мережею.

Static IP Tunneling - дозволяє роумінг між контролерами клієнтів зі статичною IP-адресою.

Off Channel Scanning Defer, Scan Defer Priority - кожна точка іноді «зіскакує» зі свого робочого каналу (частоти) і слухає інші канали на предмет сусідніх мереж, чистоти спектру, «поганих» абонентів і т.п. При цьому таке «зіскакування» може негативно позначитися на голосовому трафіку, переданому даною крапкою. Якщо точка «бачить» пакети зі значенням 802.1p поля, зазначеного галочкою (0 1 2 3 4 5 6 7), то зіскок з робочою састоти буде відкладений.

Scan Defer Time (msecs) - на скільки мілісекунд відкладений.

H-REAP Local Switching - дозволяє точці доступу, яка знаходиться в режимі H-REAP (віддалений офіс) при обслуговуванні даної бездротової мережі «замикати» трафік абонентів локально, а не передавати в CAPWAP-тунелі на контролер.

H-REAP Local Auth - дозволяє точці доступу, яка знаходиться в режимі H-REAP (віддалений офіс) при обслуговуванні даної бездротової мережі проводити авторизацію локально, а не на контролері.

Learn Client IP Address - в режимі H-REAP точка буде рапортувати IP-адресу клієнта на контролер, якщо той доступний.

DHCP Server Override, DHCP Server IP Addr - використовувати вказані IP-адреса DHCP-сервера замість того, який прописаний в налаштуваннях проводового інтерфейсу контролера, на яких «замикається» трафік бездротових клієнтів.

DHCP Addr. Assignment - вимагати використання DHCP-сервера клієнтами даної бездротової мережі (статично налаштовані клієнти працювати не будуть).

MFP Client Protection - включати і вимагати захист клієнтських фреймів, варіанти Disabled (немає), Optional (за наявності можливості) і Required (обов'язково, і всі ваші клієнти повинні підтримувати CCX5).

DTIM Period (in beacon intervals) - як часто передавати broadcast / multicast кадри, впливає на енергоефективність клієнтів.

NAC State - вибирає режим роботи спільно з пристроєм NAC.

Client Load Balancing - дозволяє балансування клієнтів між точками доступу згідно з їх завантаженості.

Client Band Select - дозволяє «виштовхування» клієнтів в діапазон 5ГГц, який більш кращий в силу меншої його завантаженості.

Passive Client - дозволяє роботу клієнтських пристроїв, які «мало говорять» (на кшталт Wi-Fi ваг).

Media Session Snooping - дозволяє «підглядати» в телефонні SIP-сесії.

Re-anchor Roamed Voice Clients - дозволяє примусово переноситись між контролерами голосових клієнтів, які перебувають у роумінгу.

Налаштувавши параметри мережі, натиснувши на кнопочку Apply і не забувши зберегти конфігурацію контролера, підключаюся до захищеної мережі.

ВИСНОВКИ

В даній дипломній роботі, а саме в першому та другому розділах було вияснено що будь-яка організація - це сукупність взаємодіючих елементів (підрозділів), кожен з яких може мати свою структуру. Елементи пов'язані між собою функціональні, тобто вони виконують окремі види робіт в рамках єдиного бізнес-процесу, а також інформаційно, обмінюючись документами, факсами, письмовими та усними розпорядженнями. Крім того, ці елементи взаємодіють із зовнішніми системами, причому їх взаємодія також може бути як інформаційною, так і функціональною. І ця ситуація справедлива практично для всіх організацій, яким би видом діяльності вона не займалися - для урядової установи, банку, промислового підприємства, комерційної фірми.

Такий загальний погляд на організацію дозволяє сформулювати деякі загальні принципи побудови бездротових корпоративних інформаційних систем, тобто інформаційних систем в масштабі всієї організації.

Також вияснено що безпровідна територіально розподілена корпоративна мережа це система що забезпечує передачу інформації між різними додатками, використовуваними в системі корпорації. Корпоративна мережа являє собою мережу окремої організації. Корпоративною мережею вважається будь-яка мережа, що працює по протоколу TCP/IP та використовує комунікаційні стандарти Інтернету, а також сервісні додатки, що забезпечують доставку даних користувачам мережі.

Були обговорені питання що до захисту інформації від несанкціонованого доступу, а також наведені кілька стратегій безпеки які можна примінити дла захисту інформації в бездротовій мережі Wi-Fi та їх розгортання.

Виявлені проблеми безпеки з якими може зіткнутися ствотена мережа.

В третьому розділі була озроблена бездротова локальна мережа (WLAN - wireless LAN) на основі поєднання уніфікованої бездротової інфраструктури (CUWN) Cisco, і доменної інфраструктури Microsoft яка використовується в офісах для підключення мобільних співробітників у місцях скупчення користувачів. Проведено алаштування бездротової мережі та реалізації захисту на контролері фірми Cisco яке і використовувалось для створення всієї корпоративної мережі.

Останнім розділом хотілося показати, що правильно налаштована безпровідна мереже представляє собою нездоланний бар'єр для зловмисника (звичайно, до відомої границі).

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ

1. Ботт Э. Эффективная работа: Безопасность Windows. [Текст] / Э. ботт, К. Зихерт - СПб.: Питер, 2009. - 682 с.

2. Бройдо В.Л. Вычислительные системы, сети и телекоммуникации. [Текст] / Л. В. Бройдо - СПб.: Питер, 2005. - 688 с.

3. Интернет-технологии в Федеральной целевой программе «Электронная Россия (2002-2010 роки)» [Текст]: Справочное пособие / А.В. Волокитин А.И. Панкратов, А.В. Солдатенков, Л.Д. Рейман - М., 2003. - 272 с.

4. Воройский Ф.С. Основы проектирования автоматизированных библиотечно-информационных систем. [Текст]: Справочное пособие / Ф.С. Воройский - М.: ФИЗМАТЛИТ, 2005. - 384 с.

5. Галицкий А.В. Защита информации в сети - анализ технологий и синтез решений. [Текст] / А.В. Галицкий, С.Д. Рябко, В.Ф. Шаньгин - М.: ДМК Пресс, 2004. - 616 с.

6. Телекоммуникации и сети. [Текст] : тез. докл. науч.-практ. конф. (окт. 2000) / отв. ред. В.А. Галкин М.: МГТУ им. Н.Э. Баумана, 2003. - 608 с.

7. Аппаратные средства локальных сетей. М.Гук - СПб.: Питер, 2000.- 576 с.

8. ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. [Текст].- Введ. 2005-01-01. - М. : Изд-во стандартов, 2005. - 112 с.

9. ГОСТ Р 50922-96 Защита информации. Основные термины иопределения. [Текст].- Введ. 2003-01-01. - М. : Изд-во стандартов, 2003. - 96 с.

10. Камышников В.В. Основы сетевой архитектуры Internet. [Текст] / В.В. Камышников - Самара: Издательство «Самарский университет», 2001.-107 с.

11. Корниенко А.А. Информационная безопасность и защита информации в корпоративных сетях железнодорожного транспорта. [Текст] /А.А. Корниенко, В.В. Яковлев М.: УМК МПС России, 2002. - 328 с.

12. М. Кулыгин Технологии корпоративных сетей: Энциклопедия. [Текст] / М. Кулыгин - СПб.: Питер, 2007. - 704 с.

13. Курило А.П. Обеспечение информационной безопасности бизнеса. [Текст] / А.П. Курило - М.: ВДС-пресс, 2005. - 512с.

14. Олифер В.Г. Компьютерные сети. Принципы, технологии, протоколы. 2-е изд. [Текст] / В.Г.Олифер, Н.А. Олифер СПб.: Питер, 2004. - 864 с.

15. Пятибратов А.П. Вычислительные системы, сети и телекоммуникации [Текст] / А.П. Пятибратов, Л.П. Гудыно, А.А. Кириченко А.А. Под ред. Пятибратова А.П.- М.: Финансы и статистика, 2006. - 512 с.

16. Родичев Ю.А. Принципы проектирования корпоративных информационных сетей образовательных учреждений. [Текст] / Ю.А. Родичев, К.В. Чарковский // Журн.Вестник СамГТУ. Серия: Физико-математические науки. 2003, выпуск 19 с. 150-155.

17. Родичев А.Ю.Системная модель защиты информации информационных систем распределенного типа. [Текст] /А.Ю. Родичев, Ю.А. Родичев // Журн. Вестник Самарского гос. ун-та. 2003., № 2, с.15-20.

18. Родичев Ю.А. Элементы теории корпоративных информационных систем сферы подготовки и развития интеллекта. [Текст] / Ю.А. Родичев // Журн. Вестник Самарского гос. ун-та. 2004., № 2, с. 176-187

19. Соколов А.В. Защита информации в распределенных корпоративных сетях и системах. А.В.Соколов, В.Ф. Шаньгин- М.: ДМК Пресс, 2002. - 656 с.

20. Танненбаум Э. Компьютерные сети. 4-е изд. [Текст] / Э.Танненбаум-МПб.: Питер, 2003. - 992 с.

21. Титоренко Г.А. Методы и средства построения систем информационной безопасности. Их структура. 2-е издание, дополненное. [Текст] / Г.А. Титоренко - М., 2003. - 205 с.

22. Яковлев В.В. Информационная безопасность и защита информации в корпоративных сетях железнодорожного транспорта. [Текст] /В.В. Яковлев, А.А. Корниенко М.: УМК МПС России, 2012. - 328 с.

23. Олифер В.Г. Новые технологии и оборудование IP-сетей [Текст] / В.Г. Олифер, Н.А. Олифер - СПб.: БХВ-Санкт-Петербург. 2011 р.

24. Самардак А.С. Корпоративные информационные системы [Текст] / А.С. Самардак - Москва. 2011 р.

25. Просис Д. Руководство по TCP/IP для начинающих [Текст] / Д. Просис // Журн. PC Magazine. 2010 р. - № 3. - С. 58-67

26. Семенов Ю.А. Протоколы и ресурсы Internet [Текст] / Ю.А. Семенов -Москва. 2002 р. 420 с.

27. Комплексные решения по построению инфраструктуры предприятия. [Электронный ресурс] : - Режим доступа : www/ URL: http:// www.lankey.ru. Загл. с екрану.2013р.

28. Кутыркин С. Б. Повышение качества предприятия с помощью информационных систем класса ERP [Текст] / С.Б. Кутыркин, С.А.Волчков, И.В. Балахонов - : Москва 2005 р. 348с.

29. Олифер В.Г. Компьютерные сети. Принципы, технологии, протоколы 4 издание [Текст] / В.Г. Олифер, Н.А. Олифер : Санк-петербург 2008 - 916с.

Размещено на Allbest.ru


Подобные документы

  • Захист електронних платежів у мережі Іntегnеt. Побудова захисту електронних банківських документів. Криптографічний захист інформації. Захист інформації та вирішення питань безпеки у СЕП. Роботи програмно-технічних комплексів в інформаційній мережі.

    контрольная работа [293,9 K], добавлен 26.07.2009

  • Аналіз локальних мереж та характеристика мережі доступу за технологією 802.11АС. Створення та проектування мережі в Державній установі "Науково-методичний центр вищої та фахової передвищої освіти" та її захист. Переваги бездротової мережі передачі даних.

    дипломная работа [4,6 M], добавлен 14.06.2021

  • Огляд і архітектура обчислювальних мереж, переваги їх використання та обґрунтування вибору. Пошук несправностей в мережах на базі операційної системи Windows, виявлення причин. Особливості методів захисту від несанкціонованого доступу в мережі TCP/IP.

    курсовая работа [2,8 M], добавлен 28.01.2011

  • Класифікація мережевих атак, методи протидії і захисту. Технології аутентифікації, цілісності і конфіденційності. Модуль периферійного розподілу. Безпечний дизайн Cisco SAFE. Розробка схеми мультисервісної мережі. Технології віддаленого доступу до VPN.

    курсовая работа [616,8 K], добавлен 18.09.2014

  • Покращення захисту інформаційно-комунікаційних безпек з точки зору вимоги доступності. Класифікація DoS-атак, розробка моделі методики виявлення DoS-атаки та реалізація відповідного програмного засобу. Захист критичних ресурсів корпоративної мережі.

    дипломная работа [932,6 K], добавлен 02.09.2016

  • Знайомство з основами побудови і функціонування комп'ютерних мереж, виділення їх особливостей і відмінностей. Характеристика основних способів побудови мереж. Розрахунок економічної ефективності впровадження корпоративної локальної обчислювальної мережі.

    курсовая работа [275,0 K], добавлен 18.11.2014

  • Класифікація комп’ютерних мереж і топологій. Побудова функціональної схеми локальної мережі. Організація каналів зв’язку. Вибір способу керування мережею. Вибір конфігурації робочих станцій. Програмне забезпечення локальної мережі та захист інформації.

    курсовая работа [2,7 M], добавлен 15.06.2015

  • Поняття та завдання комп'ютерних мереж. Розгляд проекту реалізації корпоративної мережі Ethernet шляхом створення моделі бездротового зв’язку головного офісу, бухгалтерії, філій підприємства. Налаштування доступу інтернет та перевірка працездатності.

    курсовая работа [2,2 M], добавлен 20.03.2014

  • Мета застосування proxy-серверів: забезпечення доступу з комп'ютерів локальної мережі в Інтернет; кешування та стиснення даних; захист локальної мережі; анонімізація та обхід обмежень доступу. Програмний продукт Squid. Настройка Windows клієнтів.

    дипломная работа [522,5 K], добавлен 28.01.2014

  • Обладнання безпровідних мереж. Стандартні і додаткові швидкості в Ethernet: частотний діапазон, швидкість радіо, захисний інтервал. Коротка характеристика головних переваг та недоліків бездротової мережі Wi-Fi. Забезпечення стійкості мережі до злому.

    презентация [355,0 K], добавлен 14.08.2013

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.